springboot自定义注解+拦截器完成Token+签名校验

最新推荐文章于 2024-04-23 14:44:44 发布
最新推荐文章于 2024-04-23 14:44:44 发布
阅读量3.2k 收藏 17
点赞数
分类专栏: java基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39724194/article/details/102903673
版权
一:为什么需要使用校验

请求校验可以保证数据通信时的安全性:

  • 防止参数被篡改
  • 判断登录用户是否合法(虽然你是你,但是你还需要门票(token)才能进入)
  • 请求的唯一性(防止恶意重复提交–爬虫、网络攻击等)
二:工作流程
  • 不加校验:
    获取一个列表:http://api.XXX.com/getproductList?id=value1
    这种方式,只需要一个url调用者就可以获取到数据列表,导致数据泄露,也会造成数据库压力激增。
  • 加入校验:
    1. token校验:用户在登录时,通过一定逻辑生成一份token返回给客户端保存,同时在服务器端保存一份,每次用户调用接口时,会携带这个token与服务器存放的token进行校验,如果一致则校验通过。(和uuid的区别:uuid相当于身份证,token相当于门票,token是会不断改变的。就算别人拿到了你的uuid也没用)
    2. 签名校验:请求api时,会将发送的请求url的参数按ASCII字段排序,然后对这个字符串进行按照一定规则进行加密,放入到参数中一起传给服务器,服务器根据请求参数按照相同规则进行加密,如果加密后的数据和传参一致,校验通过。(可以通过加入时间戳,来控制时间)
    3. 例:微信支付接口
      在这里插入图片描述
      在这里插入图片描述
三:代码示例
  1. 自定义注解:
@Inherited
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface PublicUrl {

    /**
     * 是否校验token合法性
     *
     * @return
     */
    boolean tokenValidate() default false;

    /**
     * 是否校验签名合法性
     *
     * @return
     */
    boolean signValidate() default false;
}
  1. 自定义拦截器,实现WebMvcConfigurer接口
    此处在我的2个项目中出现了不同的情况,一个@Configuration注解完全不起作用,需要加上@EnableWebMvc注解才生效,一个只需要@Configuration就ok了,原因解释见:@EnableWebMvc注解
@EnableWebMvc
@Configuration
public class MyAppConfigurer implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getHandlerInterceptor());
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedHeaders("Content-Type", "x-requested-with", "X-Custom-Header")
                .allowedMethods("PUT", "POST", "GET", "DELETE", "OPTIONS")
                .allowedOrigins("*")
                .allowCredentials(true);
    }

    @Bean
    public HandlerInterceptor getHandlerInterceptor() {
        return new SafeHandlerInterceptor();
    }
}
  1. 签名及token校验的具体实现
public class SafeHandlerInterceptor implements HandlerInterceptor {
    @Autowired
    private MyProperties properties;
    @Autowired
    private UserDao userDao;
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {     
        if (properties.getTokenDisable()) {
            return true;
        }
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            if (handlerMethod.getBean() instanceof BasicErrorController) {//exclude frame BasicErrorController
                return true;
            }
            ValidateResponse validateResponse = new ValidateResponse(true, null);
            //validate controller method annotation to judge token or params whether or not validate
            PublicUrl publicUrl = handlerMethod.getMethodAnnotation(PublicUrl.class);
            if (null != publicUrl) {
                if (publicUrl.signValidate() == true) {
                    validateResponse = paramSignValidate(request, response);
                }
                if (validateResponse.isValidate() && publicUrl.tokenValidate() == true) {
                    validateResponse = tokenValidate(request, response);
                }
            } else {
                //validate controller class annotation to judge token or params whether or not validate
                publicUrl = handlerMethod.getBean().getClass().getAnnotation(PublicUrl.class);
                if (null != publicUrl) {
                    if (publicUrl.signValidate() == true) {
                        validateResponse = paramSignValidate(request, response);
                    }
                    if (validateResponse.isValidate() && publicUrl.tokenValidate() == true) {
                        validateResponse = tokenValidate(request, response);
                    }
                } else {
                    validateResponse = validate(request, response);
                }
            }
            if (!validateResponse.isValidate()) {
                throw validateResponse.getException();
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) {    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {    }

    /**
     * 全局校验
     *
     * @param request
     * @param response
     * @return
     */
    private ValidateResponse validate(HttpServletRequest request, HttpServletResponse response) {
        ValidateResponse validateResponse = paramSignValidate(request, response);
        if (validateResponse.isValidate()) {
            validateResponse = tokenValidate(request, response);
        }
        return validateResponse;
    }

    /**
     * 签名校验
     *
     * @param request
     * @param response
     * @return
     */
    private ValidateResponse paramSignValidate(HttpServletRequest request, HttpServletResponse response) {
        String sign = request.getParameter("sign");
        Map<String, String[]> map = request.getParameterMap();
        // 将参数按照一定规则获取到sign和前端传过来的sign进行比较,规则自定义需要和前端一致
        String sign1 = SignUtil.signMap(request.getServletPath(), map);
        if (ObjectUtil.isEmpty(sign) || !sign.equals(sign1)) {
            return new ValidateResponse(false, new ApiException(ResultEnums.ILLEGAL_REQUEST));
        }
        return new ValidateResponse(true, null);
    }

    /**
     * token校验
     *
     * @param request
     * @param response
     * @return
     */
    private ValidateResponse tokenValidate(HttpServletRequest request, HttpServletResponse response) {
        String token = request.getParameter(“token”);
        if (ObjectUtil.isEmpty(token)) {
            return new ValidateResponse(false, new ApiException(ResultEnums.MISS_TOKEN));
        }
        String userUuid = request.getParameter(USER_UUID);
        // 此处将token保存在了db,也可以放在redis
        User user = userDao.selectByUuid(userUuid);
        if (ObjectUtil.isEmpty(user)) {
            return new ValidateResponse(false, new ApiException(ResultEnums.ILLEGAL_USER));
        }
        // 将前台传来的token和服务器的进行比较,前端的token可以是用户登录时由一定规则生成的一个密钥,随返回值一起传给前端存储
        if (!token.equals(user.getToken())) {
            return new ValidateResponse(false, new ApiException(ResultEnums.ERROR_TOKEN));
        }
        return new ValidateResponse(true, null);
    }

    /**
     * 校验返回对象
     */
    private static class ValidateResponse {
        private boolean validate;
        private YkApiException exception;

        public ValidateResponse(boolean validate, YkApiException exception) {
            this.validate = validate;
            this.exception = exception;
        }

        public boolean isValidate() {
            return validate;
        }

        public Exception getException() {
            return exception;
        }
    }
}
  1. 将传参进行md5加密
public class SignUtil {
    private static final String hexDigits[] = {"0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "a", "b", "c", "d", "e", "f"};

    private final static String randomBaseStr = "abcdefghijklmnopqrstuvwxyz0123456789";
    private static String SIGN_KEY = "123456"; // 自定义
    private static String CHARSET_NAME = "UTF-8";
    private static final String sign = "sign";

    public static String signMap(String path, Map<String, String[]> map) {
        StringBuilder param = new StringBuilder(path);
        Iterator<Map.Entry<String, String[]>> entries = map.entrySet().iterator();
        Map<String, String[]> params = new TreeMap<>();
        while (entries.hasNext()) {
            Map.Entry<String, String[]> entry = entries.next();
            String key = entry.getKey();
            String[] values = entry.getValue();
            if (values == null) {
                entries.remove();
            }
            if (sign.equals(key)) {
                continue;
            }
            params.put(key, values);
        }

        Iterator<Map.Entry<String, String[]>> entries2 = params.entrySet().iterator();
        while (entries2.hasNext()) {
            Map.Entry<String, String[]> entry = entries2.next();
            String key = entry.getKey();
            String[] values = entry.getValue();
            if (values.length == 1) {
                param.append("&").append(key).append("=").append(values[0]);
            } else {
                param.append("&").append(key).append("=").append(JsonUtil.toJson(values));
            }

        }
        System.out.println(param);
        return MD5Encode(param.toString() + SIGN_KEY, CHARSET_NAME);
    }

    private static String byteArrayToHexString(byte b[]) {
        StringBuffer resultSb = new StringBuffer();
        for (int i = 0; i < b.length; i++)
            resultSb.append(byteToHexString(b[i]));

        return resultSb.toString();
    }

    private static String byteToHexString(byte b) {
        int n = b;
        if (n < 0)
            n += 256;
        int d1 = n / 16;
        int d2 = n % 16;
        return hexDigits[d1] + hexDigits[d2];
    }

    public static String MD5Encode(String origin, String charsetname) {
        String resultString = null;
        try {
            resultString = new String(origin);
            MessageDigest md = MessageDigest.getInstance("MD5");
            if (charsetname == null || "".equals(charsetname))
                resultString = byteArrayToHexString(md.digest(resultString.getBytes()));
            else
                resultString = byteArrayToHexString(md.digest(resultString.getBytes(charsetname)));
        } catch (Exception exception) {
        }
        return resultString;
    }
 }
  1. controller层
@PostMapping(value = "/testToken")
@PublicUrl(tokenValidate = true)
public Result<Boolean> testToken(String token) {
    return ResultUtil.success(。。。);
}

最后的最后,博主也是个java新手,记录下工作中的好东西,有什么不对或者还可以提高的地方,欢迎大家留言指正!!!

leo_messi94
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot学习(七十) 使用API接口签名验证权限
文若书生的专栏
02-23 3388
此篇文章介绍了API接口签名验证权限的方式,适用于系统间调用,需要校验权限的情况。
【实用工具】SpringBoot实现接口签名验证
秋装什么的博客
05-08 2019
【实用工具】SpringBoot实现接口签名验证
Spring Boot实现接口签名验证
最新发布
涛哥是个大帅比
04-23 1905
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
jJAVA版的RSA公钥与私钥的应用干货
ZWyanqing的博客
10-08 637
package cn.com.caogen.controller; import java.io.ByteArrayOutputStream; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator...
SpringBoot 接口签名校验实践
竹林幽深
11-08 374
有些接口需要验签,但有些接口并不需要,为了灵活控制哪些接口需要验签,自定义一个验签注解。
你的Springboot项目API接口安全吗?一招签名校验让你睡的安心!
u012428377的博客
08-14 1929
前言 现在的项目都采用前后端分类的方式开发了,前后端的通讯方式都通过API进行传输。我们知道,如果是管理后台的开发,可以通过shiro或springSecurity进行权限控制,进而保证API接口的安全性,但是,当我们在进行APP或小程序开发的时候,因为需要用户长期登录等问题,再采用shiro等方式进行安全控制就显得不是那么合理的。 可是,如何让我们的API接口变得安全点?不至于当其他人通过抓包的方式拿到你的userId或一些重要参数的时候,对你的数据进行破坏。 那么,API接口签名校验,将会是你阻挡这些
springboot+拦截器+注解 自定义权限校验
Zllvincent的博客
03-15 2499
一.简介
springboot+vue实现学生选课管理系统.zip
05-05
2. Axios与拦截器:在Vue.js中,使用axios发送HTTP请求,并设置全局请求拦截器,自动添加Token到请求头,实现无状态的用户认证。 四、系统功能实现 1. 用户注册与登录:用户注册时,后端验证用户名和密码的合法性,...
基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统.zip
05-30
- **过滤器**:Shiro通过Filter链实现Web安全控制,可以自定义拦截规则。 4. Vue.js: - **前端框架**:Vue是一个轻量级的MVVM(Model-View-ViewModel)前端框架,强调组件化开发。 - **虚拟DOM**:Vue使用虚拟...
SpringBoot集成JWT生成token校验方法过程解析
08-19
SpringBoot集成JWT生成token校验方法过程解析 本文主要介绍了SpringBoot集成JWT生成token校验方法的过程解析,通过示例代码...同时,我们还介绍了新建自定义注解拦截器配置的方法,以便更好地实现身份验证机制。
基于Dubbo实现的SOA分布式(没有实现分布式事务)-SpringBoot整合各种组件的JavaWeb脚手架+源代码+文档
11-29
- 拦截器 ## 文章管理模块 - 增改删查 # 整合注意点 1. 每个Mapper上都要加@Mapper 2. yaml文件 @Value获取xx.xx.xx不可行,必须使用@ConfigurationProperties,指定prefix,属性设置setter和getter 3. ...
浅谈Java 三种方式实现接口校验
08-29
AOP方式实现接口校验的主要思想是,通过定义一个权限注解,来标记需要进行校验的方法,然后使用AOP来拦截这些方法,并在拦截器中进行token验证。 在上面的代码中,我们定义了一个权限注解AccessToken,用于标记...
Spring Boot接口验签(拦截器实现&解决Post请求body的输入流只能读取一次问题)
聚沙成塔
11-12 9464
SpringBoot集成拦截器-接口签名的统一验证 demo-web module添加拦截器实现类,接口验签使用MD5 package com.springboot.demo.web.interceptor; import com.google.gson.Gson; import com.springboot.demo.common.constants.Constants; import com...
Spring Boot入门教程(三十七):支付宝集成-手机网站支付
热门推荐
人不风流枉少年
06-13 1万+
一:简介 手机网站支付用于HTML5应用,常见于微信公众号上的应用。 手机网站支付文档 手机网站支付的流程图: 用户点击H5应用中的支付按钮 点击支付按钮会请求后台接口,后台接口请求支付宝的支付接口,支付接口会返回一段html代码其中包括一个form表单和一段js代码用于自动提交表单,表单提交后就会自动跳转到支付宝的支付页面(如果手机中装了支付App就去打开APP,如果没有就在网页版支付...
三方开放接口Springboot通过AOP实现API接口签名验证
qq_32430463的博客
06-21 2718
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
Springboot学习笔记:添加自定义拦截器验证签名和请求转发
山鬼谣的专栏
08-23 3899
环境 window10 springboot:2.0 开发工具:IDEA 2020.1 jdk8+ 前言 最近做的一个项目需要和第三方对接,既然要对接,那么在接口调取时,就需要去验证签名是否合法; 虽然每个公司的签名策略都不一样。但是万变不离其宗的就是它们都需要根据请求的body数据和url中带的数据进行签名技术; 比如: url:localhost:3000/ajax/post/handler?appkey=test 请求体body: { "storeId": 1, "itemType":
spring boot 接口生成Sign签名
qq_36529480的博客
01-26 1610
public class SignUtils { public static String getSign(Map<String, String> requestMap, String appKey) { return hmacSHA256Encrypt(requestMap2Str(requestMap), appKey); } private static String hmacSHA256Encrypt(String encryptText,.
Spring Boot中对API参数进行RSA加密、解密、签名、验签
laolitou_1024的博客
04-24 2719
在spring boot环境下,实现对rest api的参数rsa加解密的方法类
SpringBoot2 API接口签名实现(接口参数防篡改)
明平姚的博客
08-25 1347
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息。 项目代码地址: github.com/MrXuan3168/… 测试 启动项目 GET请求可以用浏览器直接访问 http://localhost:8080/signTest?sign=A0161DC4711806
springboot怎么使用过滤器拦截token
08-27
### 回答1: 可以通过实现 Filter 接口来创建一个过滤器,然后在 Spring Boot 中使用 @Bean 注解将其注册到应用程序中。在过滤器中,可以通过 HttpServletRequest 对象获取请求头中的 token,然后进行验证或者其他操作。具体实现可以参考 Spring Boot 官方文档或者相关教程。 ### 回答2: 在使用Spring Boot中,可以通过创建一个过滤器来拦截token。下面是一个简单的示例,说明如何实现。 首先,需要创建一个自定义的过滤器类,实现javax.servlet.Filter接口。在实现过滤器时,我们可以在doFilter方法中进行token验证的逻辑处理。以下是示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class TokenFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 将请求和响应对象转换成HttpServletRequest和HttpServletResponse对象 HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 从请求头中获取token String token = httpRequest.getHeader("Authorization"); // 进行token验证的逻辑处理,例如验证token是否过期、是否有效等 // ... // 如果验证通过,将请求继续传递给下一个过滤器或目标资源处理 chain.doFilter(request, response); } // 其他方法,例如init和destroy方法,可以留空不做处理 } ``` 接下来,需要将自定义的过滤器添加到Spring Boot应用程序中。可以使用@Configuration注解将过滤器添加为一个Bean,并使用@Order注解指定过滤器的执行顺序。例如: ```java import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.core.Ordered; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<TokenFilter> tokenFilter() { FilterRegistrationBean<TokenFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new TokenFilter()); // 设置过滤器的URL映射规则,例如/*表示拦截所有请求 registrationBean.addUrlPatterns("/*"); // 设置过滤器的执行顺序 registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE); return registrationBean; } } ``` 最后,重新启动Spring Boot应用程序,自定义的过滤器就会拦截所有请求,并对token进行验证处理。 请注意,上述示例只是一个简单的演示,实际应用中可能需要根据具体的需求进行修改和扩展。例如,可以从数据库或缓存中获取token,进行更加复杂的验证逻辑,并在验证失败时返回相应的错误信息。 ### 回答3: 使用Spring Boot实现过滤器拦截Token的步骤如下: 1. 创建一个自定义的过滤器类,实现javax.servlet.Filter接口,并重写doFilter方法。在doFilter方法中,可以通过HttpServletRequest对象获取请求头中的Token信息,并进行相应的验证或处理。 2. 在Spring Boot应用的启动类中,通过添加注解@EnableWebSecurity开启Web安全配置,并通过继承WebSecurityConfigurerAdapter类重写configure方法。 3. 在configure方法中,使用http对象的addFilterBefore方法将自定义的过滤器添加到过滤器链中,指定过滤器在哪个过滤器之前进行拦截。 4. 在过滤器中,可以进行Token验证和处理逻辑。例如,可以使用JWT来生成和验证Token,或将Token存储在Redis中,根据请求的Token进行校验等。 5. 如果Token验证不通过,可以返回相应的错误信息或重定向到登录页面。如果验证通过,可以进行其他的业务逻辑处理。 总之,通过自定义过滤器并将其添加到Spring Boot的过滤器链中,可以在请求到达Controller之前进行Token验证和拦截操作,以实现对请求的安全控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值